تعریف بازرسی عمیق بسته (DPI).
بازرسی عمیق بسته ها (DPI) که به نام sniffing بسته نیز شناخته می شود، روشی برای بررسی محتوای بسته های داده در هنگام عبور از یک ایست بازرسی در شبکه است. با انواع عادی بازرسی بسته stateful، دستگاه فقط اطلاعات موجود در هدر بسته ، مانند آدرس پروتکل اینترنت مقصد (IP)، آدرس IP منبع و شماره پورت را بررسی می کند. DPI محدوده بزرگتری از ابرداده ها یا متادیتا و داده های مرتبط با هر بسته ای را که دستگاه با آن ارتباط برقرار می کند ، بررسی می نماید.به این معنی که DPI شامل ، فرآیند بازرسی هدر و دادههایی است که بسته حمل میکند می باشد.
Sniffing فرایند نظارت و ضبط تمام بسته های عبوری از یک شبکه با استفاده از برخی ابزارها می باشد. اگر مجموعه ای از پورت سوئیچ های سازمانی باز باشند، اغلب یکی از کارمندان خود سازمان نیز می تواند تمام ترافیک شبکه را شنود کند.
چگونه DPI کار می کند :
DPI محتویات بسته های داده را با استفاده از قوانین خاصی که توسط کاربر، مدیر یا یک ارائه دهنده خدمات اینترنتی (ISP) از پیش برنامه ریزی شده اند، بررسی می کند. سپس، تصمیم می گیرد که چگونه با تهدیداتی که کشف می کند برخورد نماید. DPI نه تنها می تواند وجود تهدیدها را شناسایی کند، بلکه با استفاده از محتویات بسته و هدر آن، می تواند بفهمد که از کجا آمده اند. به این ترتیب، DPI می تواند برنامه یا سرویسی را که تهدید را راه اندازی کرده است مشخص کند.همچنین میتوان DPI را برای ترافیک شبکه ایی که از یک سرویس آنلاین یا آدرس IP خاص میآید ، طوری برنامه ریزی کرد که شناسایی و تغییر مسیر دهد.
مقایسه بازرسی عمیق بسته با فیلترینگ بسته معمولی
فیلترینگ بسته های معمولی فقط قادر به خواندن اطلاعات هدر که با هر بسته داده ارائه می شود، می باشد.فیلترینگ عادی یک رویکرد اساسی و کمتر پیچیده است که به دلیل محدودیتهای تکنولوژیکی اولیه ضروری می باشد. از آنجایی که فایروالها قادر به پردازش سریع دادههای زیادی نبودند، آنها فقط بر روی اطلاعات هدر تمرکز میکردند، زیرا هر گونه دریافت اطلاعات بیشتر به کار و زمان بیشتری نیاز داشت و عملکرد شبکه را بهطور غیرعادی قربانی میکرد.
با این حال، با فن آوری های جدید، پتانسیل برای بازرسی بسته های عمیق تر و در زمان واقعی به وجود آمد.
موارد استفاده برای بازرسی عمیق بسته یا DPI :
- روش های مختلفی برای استفاده از sniffer بسته عمیق وجود دارد. DPI می تواندهم به عنوان یک سیستم تشخیص نفوذ (IDS) و یا به عنوان یک سیستم پیشگیری از نفوذ (IPS) و همینطور یک سیستم IDS به طور همزمان و با هم کار کند. همچنین به کاربران این امکان را می دهد تا انواع خاصی از حملات را که یک فایروال معمولی قادر به شناسایی آنها نباشد، شناسایی کنند.
«شرکت فنی-مهندسی نوآوران افراتک هوشمند» این ابزارهای آزمون نفوذ ( pentest ) و ارزیابی امنیتی را تامین و پشتیبانی مینماید.
- میتوان از DPI برای جلوگیری از انتشار تصادفی نرمافزارهای جاسوسی، کرمها و ویروسها در شبکه سازمانهایی که کاربران لپتاپهای خود را به محل کار میآورند و یا از آنها برای اتصال به یک شبکه خصوصی مجازی (VPN) استفاده میکنند، به کار برد.
آیا VPN ها امنیت موثری را برای مشاغل فراهم می کنند؟
- همچنین، با DPI، می توانید قوانین خود را داشت. DPI به مدیران این امکان را می دهد که برنامه های وب تعاملی و قابل دسترسی کارمندان خود را انتخاب کنند. همینطور اگر برنامههایی شبکه سازمان را تهدید و یا بهرهوری را با مشکل مواجه کنند، میتوان از DPI برای تعیین دسترسی به آنها و همچنین تغییر مسیر ترافیک ورودی آنها استفاده نمود.
- DPI همچنین یک ابزار مفید برای مدیرانی است که می خواهند ترافیک شبکه را بهتر مدیریت کنند و بار سیستم را کاهش دهند. اگر پیامی با اولویت بالا وجود داشته باشد، از DPI می توان برای اطمینان از اینکه فوراً از آن عبور می کند استفاده کرد. به این ترتیب می توان به مهمترین پیام ها اولویت داد.
- همچنین با DPI میتوان تصمیم گرفت که کدام بستهها برای کسبوکار حیاتیتر هستند و مطمئن شد که آنها نسبت به بستههای دیگر، مانند بستههای مرور معمولی، اولویت دارند. علاوه بر این، اگر سازمان در تلاش است بر بار دانلود نظیر به نظیر غلبه کند، DPI می تواند برای شناسایی این نوع خاص از انتقال و کاهش داده ها استفاده شود.
- ISP ها می توانند از DPI برای جلوگیری از سوء استفاده مهاجمان از دستگاه های اینترنت اشیا (IoT) با جلوگیری از درخواست های مخرب استفاده کنند. به این ترتیب، یک ISP می تواند از DPI برای جلوگیری از حملات انکار سرویس توزیع شده (DDoS) روی دستگاه های اینترنت اشیا استفاده کند.
- DPI را می توان با الگوریتم هایی برای شناسایی تهدیدات سایبری ترکیب کرد و سپس برای مسدود کردن بدافزارها استفاده کرد. در مورد فایروال نسل بعدی (NGFW) در لبه شبکه شما، DPI بدافزار را قبل از ورود به شبکه می گیرد و دارایی های آن را به خطر می اندازد.
- DPI همچنین می تواند برای بازرسی ترافیک خروجی هنگام تلاش برای خروج از شبکه استفاده شود و بدین ترتیب از نشت داده جلوگیری نماید. بنابراین، کسبوکارها میتوانند فیلترهایی را برای جلوگیری از نفوذ دادهها تنظیم کنند. همچنین می توانید از DPI استفاده کنید تا بفهمید داده های شما به کجا می رود. برای مثال، با بازرسی بسته عمیق UniFi، دادههای مربوط به محل ارسال دادهها در گیت نگهداری میشوند تا شما آنها را بررسی کنید تا زمانی که آنها را به صورت دستی حذف کنید.
- با DPI، دید برنامهها را افزایش میدهید، که منجر به مسدود کردن دسترسی به برنامههای غیرمجاز یا مشکوک می شود. همچنین میتوانید از قابلیتهای تحلیلی DPI برای مسدود کردن الگوهایی که خطمشی شرکت را نقض میکنند استفاده کنید. DPI همچنین می تواند برای جلوگیری از دسترسی غیرمجاز به داده های خاص برنامه های مورد تایید شرکت استفاده شود.
تکنیک های بازرسی عمیق بسته ها (DPI) :
فایروالهایی با قابلیت IDS و سیستم های IDS که برای محافظت از شبکه در نظر گرفته شده اند هر دو از DPI استفاده می کنند. تکنیک هایی که در هر دو به کار برده شده است شامل ناهنجاری پروتکل (protocol anomaly ) ، راه حل های IPS، و تطبیق الگو یا امضا است.
ناهنجاری پروتکل (protocol anomaly) :
ناهنجاری پروتکل از رویکردی به نام «انکار پیشفرض» استفاده می کند. با رد و یا انکار پیشفرض (default deny) ، محتوا مجاز است طبق پروتکلهای از پیش تعیین شده ارسال شود. فقط محتوایی که متناسب با نمایه قابل قبول باشد می تواند از آن عبور کند. این رویکرد با اجازه دادن به هر چیزی که به عنوان مخرب شناخته نشده و می تواند همچنان به حملات ناشناخته اجازه نفوذ به شبکه را بدهد متفاوت می باشد.
راه حل های IPS :
راه حل های IPS می توانند تهدیدها را در زمان واقعی مسدود کنند و برخی از آنها از DPI استفاده می کنند. با این حال، یکی از چالشهای استفاده از راهحلهای IPS این است که گاهی اوقات مثبت کاذب صادر می کنند. استفاده از سیاست های محافظه کارانه می تواند تأثیر یک IPS را که تمایل به نشان دادن هشدارهای مثبت کاذب دارد، کاهش دهد.
تطبیق الگو یا امضا :
با تطبیق الگو یا امضا، محتویات یک بسته داده با پایگاه داده تهدیدهای شناسایی شده قبلی ، تجزیه و تحلیل و مقایسه می شود. اگر سیستم به طور مداوم با اطلاعات تهدید به روز شود، این رویکرد می تواند یک دفاع بسیار موثر در برابر حملات باشد. با این حال، اگر حمله جدید باشد، سیستم ممکن است آن را از دست بدهد.
مزایای DPI :
از آنجایی که DPI دید و محافظت بهتری از برنامه های وب به شما می دهد، استفاده از آن در سیستم مزایای متعددی دارد. مدیران فناوری بهتر می توانند شبکه خود را با DPI مدیریت نمایند. همانطور که داده ها از طریق شبکه عبور می کنند، حجم وسیعی از اطلاعات در مورد ماهیت آن، اینکه از کجا آمده و به کجا می رود، با خود حمل می کنند. با DPI، میتوان فایروال را به گونه ای برنامهریزی نمود تا دادههای در حال حرکت از طریق شبکه را بررسی نمایند و همینطور نحوه جریان دادههای خاص، جایی که مسیریابی میشوند و نحوه پردازش آنها را مدیریت کنند.
DPI همچنین می تواند برای افزایش امنیت استفاده شود. هکرها ممکن است از وب سایت ها یا برنامه های خاصی برای انجام حملات خود استفاده کنند. با DPI، میتوان تمام دادههای دریافتی از سایتها یا برنامههای خاص را کاملاً مسدود نمود ، در نتیجه شبکه خود را در برابر تهدیدات مرتبط با آنها محافظت کرد. همچنین نه تنها از اینکه یک بسته داده از کجا میآید آگاه شد بلکه چه چیزی در محموله آن است نیز مشخص می شود. DPI میتواند بستههایی با داده خطرناک که ممکن است توسط فایروالهای معمولی شناسایی نشوند را مشخص کند.
DPI همچنین گزینه های پیشرفته ای را در مورد کنترل ترافیک در شبکه به مدیران می دهد. به عنوان مثال، اگر سازمان از Voice over Internet Protocol (VoIP) یا Zoom استفاده می کند، DPI می تواند برای اولویت بندی آن ترافیک استفاده شود. به جای تعجب که آیا تماسها و کنفرانسها توسط ترافیک دیگر قطع میشوند، میتوانید ابتدا از DPI برای ارسال آن دادهها استفاده کنید.
DPI همچنین برای فعالیت هایی غیر از امنیت و مدیریت داده ها استفاده می شود. دولت ها می توانند از DPI برای اجرای طرح سانسور اینترنتی استفاده کنند. در این سناریو، DPI ترافیک را اسکن میکند و انتقالهایی را که از منابع غیرمجاز، بهویژه منابعی که از خارج از کشور میآیند یا از سایتهایی که دولت آنها را تهدیدی برای مردمش میداند ناشی میشوند، مسدود میکند. علاوه بر این، DPI می تواند برای استراق سمع ارتباطات اینترنتی و داده کاوی اینترنتی استفاده شود.